Im Juni 2021 begann die EU-Kommission mit der Reform der eIDAS-Verordnung aus dem Jahr 2014 und damit mit der Neugestaltung des europäischen Rechtsrahmens für elektronische Identitätssysteme (eID). Ziele dieses ambitionierten Reformprojektes sind die Schaffung eines Gegengewichts zu den bekannten Loginsystemen von Google, Facebook und Apple sowie die Bereitstellung eines breitenwirksamen eID-Systems zur Nutzung von eGovernment- und eCommerce-Diensten durch die Bevölkerung. Der neue Verordnungsentwurf sieht eine Software namens “Brieftasche für die europäische digitale Identität” (Wallet App) vor, mit der sich Bürger*innen und Einwohner*innen online und offline ausweisen können, und die ihnen die Möglichkeit gibt, Eigenschaften (Attribute genannt) wie Alter, Führerschein oder Studierenden-Status nachzuweisen. Die breite Akzeptanz dieses neuen europäischen elektronischen Identifizierungssystems soll laut Verordnungsentwurf sichergestellt werden, indem sogenannte “sehr große Online-Plattformen” wie Facebook und Google verpflichtet werden, die europäische Wallet als Login-Möglichkeit zu ihren Diensten zu unterstützen. In ähnlicher Weise werden auch Mitgliedstaaten verpflichtet, dieses System als Ausweis für Bürger*innen einzusetzen, wenn sie eGovernment-Dienste nach der alten Verordnung von 2014 nutzen. Kleineren Internetunternehmen wiederum kann die Kommission mittels delegiertem Rechtsakt vorschreiben, die neue Wallet App ebenfalls zu unterstützen.

Das neue, auf einer Wallet App auf unseren Smartphones basierende, eID-System ist als universell einsetzbare Infrastruktur zu verstehen, mit der die Identität und gewisse Eigenschaften von Bürger*innen geprüft werden können. Die durch dieses System ausgewiesene Identität bietet den höchstmöglichen Grad an Zuverlässigkeit, da sie vom Staat vergeben wird. Die Reihe an Attributen, die ein solches System beinhalten und verifizieren kann, ist grundsätzlich endlos. Attribute können von öffentlichen Stellen bereitgestellt werden – zum Beispiel Alter, Behindertenstatus, Impfstatus – oder von privaten Unternehmen und Institutionen – zum Beispiel Medikamente, Mitgliedschaften oder Bonusklubs. Die größte Änderung gegenüber der bestehenden eIDAS-Verordnung von 2014 ist, dass diese neue Wallet App es privaten Unternehmen (“vertrauende Beteiligte” oder auf Englisch "relying party" genannt) ermöglichen wird, die Identität oder andere Attribute ihrer Kund*innen oder Nutzer*innen zu überprüfen. Gesetzliche Sicherheitsvorkehrungen gegen den Missbrauch des Systems zur Nachverfolgung, Profilerstellung oder für gezielte Werbung existieren nicht. Die nationale eIDAS-Regulierungsbehörde ist dafür zuständig, in ihrem Land ansässige Unternehmen als vertrauende Beteiligte zu bestätigen (diese Zulassung ist dann EU-weit gültig), aber das Verfahren dazu ist ungewiss und wird erst nach dem Erlass einer Verordnung durch die EU-Kommission festgelegt. Da die meisten Big-Tech-Unternehmen ihre Europazentralen in Irland haben, kann man davon ausgehen, dass sie unregulierten Zugang zu dem System bekommen. Darüber hinaus gibt es keine Möglichkeit für einen eIDAS-Regulator, eine relying party bei Fehlverhalten aus dem System auszuschließen.

Eine der Kernfunktionalitäten der Wallet App, Nutzer mittels Bekanntgabe ihres bürgerlichen Namens Dritten gegenüber auszuweisen, wird von einer Bestimmung in Artikel 11a begleitet, die den Mitgliedstaaten auferlegt, jede Person mit einer alphanumerischen Zeichenfolge, die für den Rest ihres Lebens gilt, eindeutig zu identifizieren. Dieser bleibende (“persistente”) und eindeutige Identifikator aller europäischen Bürger*in und Einwohner*in wird von der Wallet App mit privaten und staatlichen Parteien geteilt. Zwar muss der/die Nutzer*in seiner/ihre Identifizierung immer noch mittels Interaktion in der App zustimmen, aber da der/die Nutzer*in in Ausweissituationen sehr oft einem Machtgefälle unterliegt und diese Funktionalität ja gerade auf Fälle beschränkt ist, in denen die Identifikation von nationalem oder europäischem Recht verlangt wird, kann bezweifelt werden, ob diese Zustimmung freiwillig erteilt wird. Dazu kommt, dass nicht klar ist, wie die Wallet App unterscheiden soll, in welchen Fällen eine Identifikation gesetzlich vorgeschrieben ist und in welchen nicht. Die Regelungen können von Mitgliedsland zu Mitgliedsland unterschiedlich sein, zum Beispiel könnte ein ungarisches Gesetz eine Ausweispflicht auf Demonstrationen vorschreiben, oder ein österreichisches Social-Media-Gesetz könnte von Facebook verlangen, die Identität seiner Nutzer*innen zu kennen. Ganz allgemein können Facebook und andere Unternehmen es kaum erwarten, einen behördlichen, eindeutigen, lebenslangen Identifikator zu ihren Nutzer*innen-Identitäten hinzuzufügen, und sie werden Wege finden, um Nutzer*innen zu überlisten, genau das zu tun. Um zu verhindern, dass diese eindeutigen, lebenslangen Identifikatoren die datenbasierte Macht von Facebook und Co. noch massiv steigern, sollten sie von vornherein nicht geschaffen werden.

In der Verordnung wird zwar “selektive Offenlegung” erwähnt, also eine standardmäßige Funktion von modernen Ausweislösungen, die beispielsweise eine Altersüberprüfung ohne Weitergabe des Namens und Geburtsdatums gestattet, aber der Plan der Kommission sieht vor, dass Attribute erst geprüft werden können, nachdem der Nutzer der relying party gegenüber mit einem nachverfolgbaren Identifikator authentifiziert wurde. Damit wird aber der Zweck von selektiven Offenlegungen als Datenschutzmaßnahme zunichte gemacht. Sowohl Vizepräsidentin Vestager als auch Kommissar Breton haben sich dafür ausgesprochen, dass Nutzer*innen selbst entscheiden sollen, was sie über ihre Wallet App preisgeben. Es ist schwierig, diese Behauptung mit dem Mangel an grundlegenden Sicherheitsvorkehrungen im Vorschlag der Kommission in Einklang zu bringen.

Es ist zu erwarten, dass die eIDAS Wallet App in den kommenden Jahren angesichts der Zunahme an eGovernment-Diensten im Zuge der COVID-19-Pandemie eine weite Verbreitung finden wird. Die großen Online-Plattformen werden durch die Verordnung verpflichtet, die Wallet App zu unterstützen, und viele Unternehmen werden einen Anreiz haben, die Wallet App zur Erzielung von Geschwindigkeits- und Effizienzsteigerungen im Umgang mit Kund*innen oder Nutzer*innen einzusetzen. Der Einführung in der Öffentlichkeit könnte schnell gehen, wie sich in Österreich zeigt, wo ein Vorläufer der eIDAS Wallet App namens “ID Austria” mit jedem neu ausgestellten Reisepass und Personalausweis ausgegeben wird, es sei denn, der Bürger oder die Bürgerin widerspricht ausdrücklich. Angesichts dieser Offenheit für Authentifizierung, Identifizierung und Attribute-Nachweis in einer Reihe von Situationen, wird die Beobachtbarkeit dieser Transaktionen zum Problem. Der Provider der Wallet App muss unter gewissen Umständen Daten zum Nutzer*innenverhalten bei Interaktionen speichern, wenn auch getrennt von anderen Nutzer*innendaten. Aus Sicht der Privatsphäre ist es unerlässlich, dass das System so gestaltet ist, dass zentrale Stellen keinesfalls Einblick in das Wie und Wo der Nutzung der Wallet App erhalten. SolcheunbeobachtbarenStandardsexistieren und würden weitaus weniger in die Privatsphäre eingreifen als das von der Kommission vorgeschlagene Modell.

Eine vollständige Risikobewertung des Vorschlags ist beinahe unmöglich, denn an 28 Stellen in der Verordnung wird die Kommission ermächtigt, Rechtsakte zu erlassen. Diese 28 Durchführungs- und delegierten Rechtsakte werden erst Monate nach dem Beschluss des Gesetzes feststehen und werden Schlüsselfragen wie das Verfahren zur Aufnahme von neuen relying parties in das System, zur Sicherheitszertifizierung der Wallet App und welche kleineren Onlinedienste eventuell dazu verpflichtet werden, die Wallet App zu unterstützen, regeln. Ähnlich dem Kommissionsvorschlag für ein Digitales EU-COVID-Zertifikat liegt es jetzt wieder am Parlament und Rat, den Rechtstext eindeutig zu formulieren und die fehlenden Sicherheitsvorkehrungen und Gestaltungsprinzipien hinzuzufügen. Dazu zählt die Anforderung an die technische Architektur der Wallet App, die nach einem Zero-Knowledge- und Unverknüpfbarkeitsparadigma funktionieren muss, um von vornherein zu unterbinden, dass das Nutzer*innenverhalten von einer zentralisierten Stelle aus mitverfolgt werden kann.

Das sind nur einige der Probleme, die unsere gerade erschienene Policy-Analyse des eIDAS-Vorschlages aufgedeckt hat. In der Langfassung des Papiers erklären wir auch, wie der Vorschlag die Sicherheit im Web durch den erzwungenen staatlichen Zugriff auf die Sicherheitssysteme von Webbrowsern aushebeln könnte, was verheerende Konsequenzen hätte. Der letzte blinde Fleck, der erwähnt werden soll, betrifft die in der Verordnung getroffene Annahme, dass jeder in der EU über ein Smartphone verfügt, das ausreichend geschützt ist, um die Wallet App sicher zu betreiben. Da das nicht stimmt, insbesondere was geringverdienende Haushalte betrifft, könnten diese Personen letztlich mehr für eGovernment-Dienste bezahlen oder, noch schlimmer, Opfer von Identitätsdiebstahl werden.

Der Industrieausschuss des EU-Parlaments hat zu diesem Dossier Anfang Februar Experten angehört und wir hoffen, Bewusstsein für die in unserem Papier angesprochenen Probleme zu schaffen. Es wird an den Europaparlamentarier*innen und den Mitgliedsstaaten vertreten durch den EU-Ministerrat liegen, sachgerechte Sicherheitsvorkehrungen festzulegen, sodass aus der Wallet für die europäische digitale Identität ein Instrument wird, welches das Vertrauen der Bürger und der Bürgerinnen verdient.